1. Data Act
Der Data Act soll den Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten regeln, Datenportabilität sicherstellen und faire Wettbewerbsbedingungen, insbesondere im Cloud-Umfeld, schaffen.
Anwendbar seit: 12.09.2025 (weitere Zeitpunkte gestaffelt)
Betroffene Unternehmen: Hersteller vernetzter Produkte, Anbieter verbundener digitaler Dienste sowie Cloud- und Edge-Computing-Dienste, die Daten in der EU erzeugen, verarbeiten oder bereitstellen.
To-dos:
- Prüfung, ob das eigene Unternehmen betroffen ist
- Durchführung einer Dateninventur
- Implementierung von Prozessen zur Datenübertragbarkeit und Interoperabilität, inkl. zentraler Anlaufstelle und Verfahren für Nutzeranfragen (Achtung: Verarbeitung personenbezogener Daten der Nutzer)
- Für neue Produkte: Datenzugang by Design ab 12.09.2026
- Anpassung von Verträgen an faire Vertragsklauseln (keine Haftungsausschlüsse für Vorsatz oder grobe Fahrlässigkeit); ab 12.09.2027 auch für Altverträge
- Verbot von Switching-Gebühren bei Cloud-Diensten ab 12.01.2027
- Einrichtung von Behördenzugriffen für definierte Notfallsituationen
Relevanz für Datenschutz: Sehr hoch, neben technischen Daten können auch personenbezogene Daten anfallen.
Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland
2. Transparenz und Targeting politischer Werbung
Diese Verordnung soll Transparenz schaffen, Missbrauch verhindern und sicherstellen, dass politische Werbung innerhalb der EU klar gekennzeichnet und rechtmäßig erfolgt.
EU-weit anwendbar seit: 10.10.2025
Betroffene Unternehmen: Parteien, Plattformen, Agenturen, Werbewirtschaft sowie alle Unternehmen, die politische Werbung schalten oder veröffentlichen.
To-dos:
- Beifügung umfangreicher Transparenzerklärungen
- Sicherstellung, dass personenbezogene Daten nur direkt und ausschließlich zum Zweck politischer Werbung erhoben werden
- Festlegung und Umsetzung eines Prozesses für ausdrückliche Einwilligungen
- Ausschluss von Targeting auf Basis von Tracking
- Sicherstellung, dass keine besonders sensiblen Daten verwendet werden
- Einrichtung eines direkten Beschwerdeverfahrens für Nutzer
Relevanz für Datenschutz: In betroffenen Unternehmen sehr hoch.
Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland
3. eIDAS 2.0 / EU-ID-Wallet
Mit eIDAS 2.0 soll eine europaweit einheitliche, sichere digitale Identität geschaffen werden. Die EU-ID-Wallet ermöglicht die digitale Identifizierung und den Austausch qualifizierter Nachweise.
Anwendbarkeit: gestaffelt ab Mitte/Ende 2025, weitere Pflichten ab 2026 bzw. 2027 (Mitgliedstaaten sollen Wallets 2026 bereitstellen)
Betroffene Unternehmen: Öffentliche Stellen, Banken, Versicherungen; alle Unternehmen, die elektronische Identifizierungssysteme anbieten, herstellen oder nutzen
To-dos:
- Klärung der Rolle des Unternehmens (Nutzer oder Vertrauensdienstanbieter)
- Prozess- und IT-Inventur: Welche Prozesse sind betroffen?
- Registrierung bei zuständiger Stelle, sofern Wallet-Daten abgerufen werden
- Sicherstellung von Datenminimierung, Datensicherheit und Cybersicherheitsstandards
- Schulung der Beschäftigten
Relevanz für Datenschutz: Sehr hoch, es können umfangreiche, teils besonders sensible personenbezogene Daten verarbeitet werden.
Mehr Informationen: Übersicht über Durchführungsverordnungen | Übersicht zum Wallet
4. KI-Verordnung (KI-VO / AI Act)
Die KI-Verordnung verfolgt einen risikobasierten Ansatz und soll den Einsatz von KI sicher, transparent und grundrechtskonform gestalten.
Betroffene Unternehmen: KI-Entwickler und KI-Anbieter, bestimmte Anwender mit Hochrisiko (Finanzen, Gesundheitswesen, Personalwesen); alle Unternehmen, die entsprechende KI-Systeme nutzen
Termine:
- Verbot bestimmter KI-Systeme seit 02.02.2025
- Schulungspflicht für Beschäftigte seit 02.02.2025
- Pflichten für Anbieter von General-Purpose-AI-Systemen seit 02.08.2025
- Allgemeine Anwendbarkeit ab 02.08.2026
- Erhöhte Produktsicherheitsanforderungen für Hochrisiko-KI ab 02.08.2027
To-dos:
- Inventur aller KI-Systeme (angeboten und genutzt)
- Dokumentation der KI-Systeme sowie der verarbeiteten bzw. verwendeten Trainingsdaten
- Einführung eines Risikomanagements
- Risikoklassifizierung der KI-Systeme
- Transparenz gegenüber Anwendern, ggf. Kennzeichnung von KI-Inhalten
Mehr Informationen: Die GPAI-Guidelines | Referentenentwurf Deutschland
5. Kritische Infrastrukturen – NIS-2 & KRITIS-Dachgesetz
Die Regelungen sollen die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberangriffen und physischen Bedrohungen erhöhen.
Betroffene Unternehmen: Alle Unternehmen, die den KRITIS-Sektoren zugeordnet sind und bestimmte Schwellenwerte überschreiten
To-dos:
- Prüfung der Betroffenheit (Sektorzugehörigkeit und Schwellenwerte)
- Umsetzung eines umfassenden Cybersicherheits-Risikomanagements (NIS-2)
- Einführung von Backup-, Krisen- und Lieferkettenkonzepten
- Beachtung verschärfter Meldepflichten
- Umsetzung physischer Sicherheitsmaßnahmen sowie Schulungen und Notfallübungen (KRITIS-Dachgesetz)
Relevanz für Datenschutz: Sehr hoch, bei Angriffen können personenbezogene Daten betroffen sein; zudem erlaubt der Gesetzentwurf zweckändernde Verarbeitungen durch Behörden.
Mehr Informationen: NIS-2-Umsetzungsgesetz | Entwurf KRITIS-Dachgesetz
6. Verbraucherrechte-Richtlinie
Die Richtlinie stärkt Verbraucherrechte im Fernabsatz und soll den Widerruf von Online-Verträgen vereinfachen.
Anwendung ab: 19.06.2026
Betroffene Unternehmen: Betreiber von Online-Shops
To-dos:
- Einbindung verpflichtender Widerrufsbuttons
- Sicherstellung der leichten Erreichbarkeit des Widerrufbuttons während der gesamten Widerrufsfrist
- Anpassung von Webseiten und Schnittstellen unter Beachtung formaler Vorgaben
Mehr Informationen: EU-Richtlinie | Diskussionsentwurf des Bundesministeriums der Justiz
7. Cyber Resilience Act (CRA)
Der CRA adressiert Cybersicherheitsrisiken von Produkten mit digitalen Elementen über deren gesamten Lebenszyklus.
Betroffene Unternehmen: Hersteller, Importeure und Händler von Produkten mit digitalen Elementen
Termine:
- Meldepflichten ab 11.09.2026
- Sicherheitsanforderungen für neue Produkte ab 11.12.2027
Relevanz für Datenschutz: Cybersicherheitslücken können Datenschutzverletzungen verursachen.
Mehr Informationen: EU-Verordnung (konsolidiert)
8. E-Evidence-Verordnung
Die Verordnung regelt den grenzüberschreitenden Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel innerhalb der EU.
Übergangsfrist bis: 18.08.2026
Betroffene Unternehmen: Telekommunikationsunternehmen, E-Mail-Anbieter, VoIP-Dienste, Messaging-Dienste, Cloud-Dienstleister, Hosting-Provider, Betreiber von Plattformen. Ausschlaggebend ist die Bereitstellung digitaler Dienste innerhalb der EU.
To-dos:
- Festlegung interner Zuständigkeiten
- Verfahren zur rechtlichen Bewertung eingehender Anordnungen
- Technische Maßnahmen zur Datenidentifikation, -sicherung und -übermittlung
- Prüfung möglicher Kollisionen mit Drittstaatenrecht
- Rechtzeitige Einbindung von Auftragsverarbeitern
Relevanz für Datenschutz: Sehr hoch, auch sensible personenbezogene Daten können betroffen sein.
Mehr Informationen: EU-Verordnung | Entwurf der Umsetzung in Deutschland
9. Produkthaftungsrichtlinie (neu)
Die Richtlinie modernisiert das Produkthaftungsrecht und erweitert den Produktbegriff ausdrücklich auf Software und KI-Systeme.
Umsetzung bis: 09.10.2026
Betroffene Unternehmen: Software- und KI-Entwickler bzw. -Hersteller sowie alle Unternehmen, die gewerbsmäßig an der Wertschöpfung des Produkts beteiligt sind
Kernaussagen:
- Haftung für fehlerhafte Produkte, auch bei Software und KI
- Berücksichtigung von Cybersicherheitslücken bei der Fehlerbewertung
- Haftung auch für Verlust oder Verfälschung von Daten
- Prüfung und Anpassung von Verträgen sowie Dokumentation von Produktentwicklung und Updates
Mehr Informationen: EU-Richtlinie
